link aggrigationの設定 (1)

link aggrigationの第1回目です

本来ならJuniper EXシリーズとCisco Catalyst間でLAG接続を実施したいところですが、手元にEXシリーズが無いのでSRX100で代用します
またCisco側はCatalyst2950-12を使用します

まずはスタンダードなLACPによるLAG接続です

Catalyst2950側の設定は下記設定を実施しています

Current configuration : 958 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!
spanning-tree mode rapid-pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface Port-channel1
flowcontrol send off
!
interface FastEthernet0/1
channel-group 1 mode passive
!
interface FastEthernet0/2
channel-group 1 mode passive
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
no ip route-cache
!
ip default-gateway 10.0.0.254
ip http server
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
!
end

では、SRX側を設定していきます
Junosの場合は、まず最初に、いくつのLAGを使用するかを設定してあげなければなりません
下記コマンドにてLAG数の最大値を設定してあげます

[edit]
Juniper@SRX100# set chassis aggregated-devices ethernet device-count 1

[edit]
Juniper@SRX100#

次に実際にLAGを構成する物理インターフェースを設定します
今回は”fe-0/0/0″と”fe-0/0/1″を使用しましょう
インターフェースごとにに設定を実施しても良いのですが手っ取り早く”interface-range”コマンドを使用します

[edit]
Juniper@SRX100# set interfaces interface-range AE_INT_RANGE member-range fe-0/0/0 to fe-0/0/1

[edit]
Juniper@SRX100# set interfaces interface-range AE_INT_RANGE fastether-options 802.3ad ae0

簡単に解説をします

まずAE_INT_RANGEとなっている部分はinterface-rangeのレンジ名です
目的に合った分かりやすい名前がいいでしょう
物理インターフェース番号が連続しているのでmember-rangeコマンドも使用しています
個々にメンバーを設定することも可能です
ex: set interfaces interface-range AE_INT_RANGE member fe-0/0/0

LAGの設定は
interface <物理インターフェース名> fastether-option 802.3ad <LAGインターフェース名>
となります

LAGインターフェース名は必ず”ae<LAGインターフェース番号>“となります

ちなみにaeとは”aggregated ethernet”のことです
なお、今回は物理インターフェースがFastEthernetなのでfastether-optionを使用していますが、GigaEthernetの場合はgigaether-optionを使用します

では作成したLAGインターフェースをスイッチポートに設定して、リンクアグリゲーションのプロトコルを”lacp”にしましょう
Catalyst側を”passive”設定にしていますので必然的にSRX側は”active”設定にしなくてはなりません

[edit]
Juniper@SRX100# set interfaces ae0 unit 0 family ethernet-switching

[edit]
Juniper@SRX100# set interfaces ae0 aggregated-ether-options lacp active

LAGインターフェースが出来たらVLANに紐付けを行います

[edit]
Juniper@SRX100# set vlans AE_VLAN interface ae0.0

[edit]
Juniper@SRX100# set vlans AE_VLAN vlan-id 3

[edit]
Juniper@SRX100# set vlans AE_VLAN l3-interface vlan.0

“AE_VLAN”はVLAN名です

また”ae0.0″や”vlan.0″はそれぞれ”ae0 unit 0″、”vlan unit 0″のことですが、
set vlans AE_VLAN interface ae0 unit 0
といった形ではコマンド投入できません

下記コマンドにてVLAN-ID3 “AE_VLAN”をvlanインターフェース番号”unit 0″に紐付けしています
set vlans AE_VLAN l3-interface vlan.0

最後にvlanインターフェースの設定です
ルーティングインターフェースになりますのでここでIPアドレスを設定します

[edit]
Juniper@SRX100# set interfaces vlan unit 0 family inet address 10.0.0.254/24

以上で、lacpの設定は完了です

が、次回の検証のために”fe-0/0/7″をルーテッドポートに設定しておきます

[edit]
Juniper@SRX100# set interfaces fe-0/0/7 unit 0 family inet address 192.168.0.1/24

また使用している機器がSRXですのでゾーン設定とポリシー設定も追加しておきます

[edit]
Juniper@SRX100# set security zones security-zone trust interfaces fe-0/0/7.0

[edit]
Juniper@SRX100# set security zones security-zone trust interfaces vlan.0

[edit]
Juniper@SRX100# set security policies from-zone trust to-zone trust policy TRUST_POLICY match source-address any

[edit]
Juniper@SRX100# set security policies from-zone trust to-zone trust policy TRUST_POLICY match destination-address any

[edit]
Juniper@SRX100# set security policies from-zone trust to-zone trust policy TRUST_POLICY match application any

[edit]
Juniper@SRX100# set security policies from-zone trust to-zone trust policy TRUST_POLICY then permit

簡単に解説すると”fe-0/0/7.0″と”vlan.0″を”trust”ゾーンにアサインし、”trust”ゾーン間の通信を全許可にしています
出来上がったconfigを見てみましょう

[edit]
root# show | no-more

## Last changed: 2010-08-07 12:20:29 UTC
version 10.1R2.8;
system {
    host-name SRX100;
    root-authentication {
        encrypted-password "$1$NiMStrSt$ES0FVylRA34hx6HXDAtpx1"; ## SECRET-DATA
    }
    login {
        user Juniper {
            class super-user;
            authentication {
                encrypted-password "$1$F1x9Dyky$l5d1mfjcqe2hZVhkTMBAL."; ## SECRET-DATA
            }
        }
    }
}
chassis {
    aggregated-devices {
        ethernet {
            device-count 1;
        }
    }
}
interfaces {
    interface-range AE_INT_RANGE {
        member-range fe-0/0/0 to fe-0/0/1;
        fastether-options {
            802.3ad ae0;
        }
    }
    fe-0/0/7 {
        unit 0 {
            family inet {
                address 192.168.0.1/24;
            }
        }
    }
    ae0 {
        aggregated-ether-options {
            lacp {
                active;
            }
        }
        unit 0 {
            family ethernet-switching;
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 10.0.0.254/24;
            }
        }
    }
}
security {
    zones {
        security-zone trust {
            interfaces {
                fe-0/0/7.0;
                vlan.0;
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy TRUST_POLICY {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
}
vlans {
    AE_VLAN {
        vlan-id 3;
        interface {
            ae0.0;
        }
        l3-interface vlan.0;
    }
}

[edit]
root#

では、次回lacp検証の実施、次々回はlacp+vlan taggingを解説いたします

このエントリーを含むはてなブックマーク Buzzurlにブックマーク livedoorクリップ Yahoo!ブックマークに登録

タグ

トラックバック&コメント

この投稿のトラックバックURL:

コメントをどうぞ

このページの先頭へ